forum.opennet.ru

"Эксперимент по получению контроля над пакетами в репозитории AUR"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Эксперимент по получению контроля над пакетами в репозитории..."	–1 +/–
Сообщение от Аноним (109), 27-Окт-22, 23:18
Вижу, мой посыл требует уточнения. Я не против (а даже за) открытого кода, и не топлю за закрытый. Я против: - использования кода от анонимов - потому что никакой ответственности и (скорее всего) никто не проверяет изменения; - размытия ответственности (как например, установка 100500 пакетов зависимостей при установке чего-то более-менее большого с npm). тут проблема в том, что часть из 100500 пакетов будут от анонимов (с соответствующими рисками). кроме того, вероятность захвата репы злоумышленником возрастает кратно их количеству. То есть, самое безопасное - это когда в одном продукте используется код только из одного верифицированного неанонимного источника. Сравним: 1) Коммерческая IDE, у которой весь код написан в одном месте. Либо также поддерживаются внешние плагины, но они распространяются через их сервер, куда попадают после ручной проверки. 2) Мой vim с 20 плагинами из 20 разных реп, 5 из которых принадлежат анонимам. Думаю, не сильно ошибусь, если скажу, что второй вариант в ~25 раз менее безопасен. Потому что реп 20, вероятность получения доступа хоть к одной из них в 20 раз выше, чем просто к одной. Плюс один из 5 анонимов может решить поиметь своих юзеров, раз уж ничем не рискует.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Эксперимент по получению контроля над пакетами в репозитории AUR, opennews, 27-Окт-22, 14:13 [смотреть все]

Проблемы AUR-помойки, не , Аноним, 27-Окт-22, 14:13 (1) //
- Да, но хороший повод проверить свою помойку , keydon, 27-Окт-22, 14:15 (3) //
  - http apt pashev ru, ip1982, 27-Окт-22, 17:07 (39) //
    - Они заскамили никому не нужные мертвые пакеты, которые не удалили потому что все, ВлезВВетку, 27-Окт-22, 17:25 (48)
      - да тут ситуация ваще вахх, прикинь из этих 20 пакетов 2 брошены и 4 удаленыmesen, Аноним, 27-Окт-22, 21:52 (101)
- лет 5-6 сидел в Арче, AUR не нужен а с появлением void и весь арч не нужен , лютый жабби...., 27-Окт-22, 14:33 (11) //
  - Один ты тут самый нужный НЕТ , Аноним, 27-Окт-22, 15:34 (24)
  - Без AURопомойки на Арче пц как грустно, там в официальных репах пакетов кот напл, I.F.K., 27-Окт-22, 16:51 (31) //
    - Спасибо, кэп , Diozan, 27-Окт-22, 17:11 (43)
    - Согласен, но аргументация в стиле ынтыпрайз это круто и надежно, потому что это, Аноним, 27-Окт-22, 19:19 (75)
      - Мало ли что там в принципах, декларировать - не значит исполняется всеми на прак, I.F.K., 27-Окт-22, 20:29 (83)
    - ты не кэп, ты сказочник пакетов под 10к, просто не надо зацикливаться на знаком, лютый жабби...., 28-Окт-22, 08:20 (118)
      - 13468 штВ переводе на дебьяновские, кстати, все 20к, ибо не разбивают пакеты на , Аноним, 28-Окт-22, 20:55 (131)
- Любой достаточно популярный репозиторий включая всякие аппсторы и снапкрафты , , Аноним, 27-Окт-22, 19:43 (78)
Поэтому aur лучше использовать по минимуму, особенно когда есть флатпак Это не , Герострат, 27-Окт-22, 14:16 (4) //
- в смысле когда есть лишний десяток терабайт , Аноним, 27-Окт-22, 14:20 (5) //
  - Неужели во flatpack каждая программа занимает по террабайту Или у очередного экс, Аноним, 27-Окт-22, 18:34 (71) //
    - Каждая программа во flatpack занимает примерно гиг, а если ей ещё и райнтайм сво, ан, 27-Окт-22, 19:45 (79)
      - Сейчас 2022 года на секундочка, чисто чтобы ты был в курсе , Аноним, 27-Окт-22, 21:42 (99)
        
        Канешна, точна-точна, согласно программе информационной трансформации общества, , YetAnotherOnanym, 27-Окт-22, 23:28 (111)
      - Что ты несёшь , Аноним, 28-Окт-22, 11:05 (123)
  - Даже когда есть лишний десяток терабайт, ему можно найти применение получше , Michael Shigorin, 27-Окт-22, 21:13 (93)
- Всё много проще, Arch не продакшон дистр, лучше вообще его не использовать для с, Мимокрокодил, 27-Окт-22, 14:25 (7) //
  - Поехали по кругу почему линукс подразумевает для своей работы сборку всего мира , Аноним, 27-Окт-22, 15:19 (18) //
    - Вас тяжело парсить, получается один обзац идёт вразрез с другим, не надо так, Я не шучу, 27-Окт-22, 16:55 (32)
    - Нет , Michael Shigorin, 27-Окт-22, 21:14 (94)
  - Ну как бы уже rolling release намекает насчет продакшена А на хомячий ПК, чтобы , Lost Inside, 27-Окт-22, 15:30 (23) //
    - На хомячем ПК в лучшем случае стоит сорта бубна, как правило минт В последнее вр, Мимокрокодил, 27-Окт-22, 16:58 (33)
      - Ну вот у меня хомячий комп для музыки, видео, тырнет-прокрастинации, редактуры ф, Timoteo Cirkla, 27-Окт-22, 19:39 (77)
        
        И Это типа аргумент против или где Не пугайте меня пожалуйста , I.F.K., 27-Окт-22, 20:35 (84)
        Примерно аналогично, только альт поскольку эльбрус Граждане, не толкаемся, про, Michael Shigorin, 27-Окт-22, 21:15 (95)
- Так flatpak тоже сорт того самого , iPony129412, 27-Окт-22, 15:20 (19)
- Ну значит следующим номером будет Эксперимент по получению контроля над контейн, Аноним, 27-Окт-22, 17:38 (56)
Тем не менее, оказалось, что сопровождающие около 35 пакетов в AUR используют , CCs d ukfpf jmz hjcf, 27-Окт-22, 14:23 (6) //
- Сам писал PKGBUILD для себя, и что-то даже пушил в AUR И я проверяю PKGBUILD ис, lucentcode, 27-Окт-22, 15:36 (26) //
  - gt оверквотинг удален Скажу за себя, камень не в огорода Арча, но факт есть фа, Свинкс, 27-Окт-22, 17:08 (40) //
    - В Арче есть ещё неофициальные бинарные репозитории пакетов, в том числе с AUR ht, Аноним, 27-Окт-22, 17:33 (53)
  - Справедливости ради, PPA не лезет за исходным кодом в интернет пакеты там собир, Аноним, 27-Окт-22, 18:16 (69) //
    - дайте угадаю, вам не нравится github поэтому предпочитаете Microsoft Store ведь, Аноним, 27-Окт-22, 21:02 (91)
  - В Snap есть механизм подтверждения разработчика Что idea собрана jetbrains, а н, Аноним, 27-Окт-22, 18:42 (72) //
    - winget в современных реалиях уже зачастую удобнее Ну или MS Store тоже Из того , Роман, 28-Окт-22, 14:41 (128)
- Судя по названиям пакетов скриптов сборки их пользовательская база - 1-2 челов, Аноним, 27-Окт-22, 16:58 (34) //
  - Прошу портянку с сылками на там и только там регулярные всплывающие уязвимости , Эксперт опеннета к эксперту опеннета, 27-Окт-22, 17:13 (44) //
    - Поиск по Опеннету не работает , Аноним, 27-Окт-22, 17:34 (54)
    - https www google ru search q уязвим grub debian site opennet ru, Аноним, 27-Окт-22, 17:38 (55)
      - Во 1х это не испрашиваемый список, а приглашение самому искать за вас озвученное, Эксперт опеннета к эксперту опеннета, 27-Окт-22, 20:41 (85)
Любой немодерируемый вручную репо - помойка и потенциальная дыра, которой, пока , Аноним, 27-Окт-22, 14:25 (8) //
- Всё так И мне непонятно почему об этом никто не трубит По сути выполняется с п, Аноним, 27-Окт-22, 14:38 (12) //
  - Потому что альтернатива уже есть Полностью закрытый коммерческий проприетарный , Аноним, 27-Окт-22, 15:21 (20) //
    - Закрытый коммерческий код выполняет на твоей машине всякую фигню с куда большей , Аноним, 27-Окт-22, 17:07 (38)
      - С них спрос есть А с анонима на гитхабе - нет, Аноним, 27-Окт-22, 17:52 (59)
        
        Святая наивность Чел, в любом EULA сказано, что они тебе ничего не должны и ни , Аноним, 27-Окт-22, 18:07 (65)
        ты что наивный с кого спрос тебе никто ничем не обязан, вы же поставили гало, Аноним, 27-Окт-22, 21:26 (96)
        Давайте-ка отделим мухи от котлет Я говорю о намеренном добавлении зловредного ф, Аноним, 27-Окт-22, 21:54 (102)
        
        ну вы конечно сравнили анонима мелких пакетов и корпорации с их мегапроектами,, Аноним, 27-Окт-22, 22:30 (105)
        
        Вижу, мой посыл требует уточнения Я не против а даже за открытого кода, и не т , Аноним, 27-Окт-22, 23:18 (109)
        
        ок, мы выяснили что анонимность это проблема мелкого софта, ну или периферии для, Аноним, 28-Окт-22, 00:05 (112)
        
        ведь не кто же не заставляет тебя этим пользоватьсяникто не заставляет, я сам , Аноним, 28-Окт-22, 08:13 (117)
        
        но разве вы не вольны использовать менее рискованный софт просто найдите то чт, Аноним, 28-Окт-22, 12:57 (127)
      - С куда меньшей, потому что коммерческая заинтересованность обычно вполне явная -, пох., 27-Окт-22, 17:58 (62)
        
        Внеочередной бред Особенно про aur Зайдите на арчвики и почитайте о его сути, , Xo, 27-Окт-22, 20:43 (87)
  - Внезапно, запуск любого кода, написанный не _лично тобой_ 8212 вопрос доверия, Аноним, 27-Окт-22, 18:12 (68)
- Да и модерируемый тоже От давления на модераторов до элементарных человеческих , Аноним, 27-Окт-22, 16:48 (30) //
  - Создавать в лесу систему доверия Но какое доверие может быть между буржуями Че, Аноним, 27-Окт-22, 17:09 (41) //
    - Самое забавное, что это краснопузики придумали В нормальном мире банально невыг, Аноним, 28-Окт-22, 08:36 (119)
      - Так не выгодно, что ты читаешь новости про уязвимости на опеннет, запираешь двер, Аноним, 28-Окт-22, 18:25 (129)
  - Под кроватью тоже небезопасно, может из космоса каменюка прилететь, или кровать , Ананоним, 27-Окт-22, 19:25 (76)
- Конечно, лучше быть здоровым и богатым, чем бедным и больным Только где взять р, Аноним, 27-Окт-22, 18:18 (70) //
  - Не знаю Искать решение Человечеству оказались по зубам и более серьезные пробле, Аноним, 27-Окт-22, 23:22 (110) //
    - Ага, я не знаю, а человечество пусть решит Без меня Таким-то вот образом челов, Аноним, 28-Окт-22, 08:44 (120)
Немодерируемые репозитории годны только тогда, когда содержимое не имеет никаког, Аноним, 27-Окт-22, 14:31 (10) //
- Открой свой платный и хоть умодерируйся , Аноним, 27-Окт-22, 15:21 (21)
- Аддоны играх могут дергать всё, что угодно, хоть файлы из ssh в Интернет отпр, Аноним, 27-Окт-22, 17:13 (45)
проблема высосана из пальца , burik666, 27-Окт-22, 14:52 (13) //
- Да, согласин Бизопасность нинужна , Аноним, 27-Окт-22, 14:56 (14) //
  - Да с тем же успехом в AUR можно закинуть скрипт с rm -rf , burik666, 27-Окт-22, 15:01 (15) //
    - интересно есть ли при приеме пакетов тест на патч бармина , pfg21, 27-Окт-22, 15:56 (28)
Могли бы просто мейнтейнеру пакета, который ему больше не нужен, заплатить , Аноним, 27-Окт-22, 15:35 (25) //
- Могли и не платить, просто попросить Многие майнтейнеры, давно потерявшие интере, пох., 27-Окт-22, 16:24 (29) //
  - В AUR, если пакет заброшен, разрешение сопроводителя не требуется Один из довер, Аноним, 27-Окт-22, 17:17 (47) //
    - я ж говорю - незачем тратить время на ненужное ненужно - его может и не запустит, пох., 27-Окт-22, 17:49 (58)
- Могли бы создать свои пакеты, какие угодно , helloworld, 27-Окт-22, 17:00 (36) //
  - А как уговорить тебя их поставить , пох., 27-Окт-22, 17:54 (60) //
    - Ну как -- социнженерия, хайп, всё как обычно Но это заморочиться больше надо, че, Michael Shigorin, 27-Окт-22, 21:41 (97)
      - А если не в теории, а на практике, то переполнение стека в RPM5 обслуживающий пе, n00by, 28-Окт-22, 09:28 (121)
- Для демонстрации можно было просто в hosts прописать, зачем покупать домен , gumanzoy, 27-Окт-22, 17:28 (51) //
  - ну так интереснее, всё же реальная демонстрация сильнее, iPony129412, 27-Окт-22, 17:40 (57)
норм теперича есть набор утилит для тестинга репозитория на троянов в пакетах , pfg21, 27-Окт-22, 15:55 (27)
Как минимум, стоило бы запретить дальнейший приём пакетов со SKIP и установить, Аноним, 27-Окт-22, 17:06 (37) //
- Это не репозиторий, там нет пакетов Это пользовательские скрипты сборки пакетов, Аноним, 27-Окт-22, 17:25 (49) //
  - Основную массу рачехомячья это не останавливает, Твая мамка, 27-Окт-22, 20:44 (88)
- SKIP в основном используется в vcs версиях пакетов, где софтинка собирается с по, Аноним, 27-Окт-22, 17:28 (50) //
  - э в чем проблема-то Сто раз так делали , пох., 27-Окт-22, 17:54 (61) //
    - Я про предложенный в новости метод с угоном доменного имени Зловредный форк выло, Аноним, 27-Окт-22, 18:04 (64)
      - Оригинал, зачем форк-то Уж четыре оригинала без особого желания владельцев их д, пох., 27-Окт-22, 18:10 (66)
        
        Аудитория у заброшенных пакетов где-то 3 5 калеки, форк какой-нибудь модной штук, Аноним, 27-Окт-22, 20:23 (82)
То есть из всего AURа они нашли всего 20 пакетов, где skip исплользовался только, Аноним, 27-Окт-22, 17:09 (42) //
- А этого недостаточно, надо было бы, чтобы 20 от всего , Аноним, 27-Окт-22, 17:16 (46) //
  - четырех доменов на всех желающих не хватит, конечно Тем более один уже купили , пох., 27-Окт-22, 18:00 (63)
  - ну вот смотри, в АУРе лежет порядка 80 тысяч рецептов для сборки пакетов и тольк, Аноним, 27-Окт-22, 20:51 (90)
  - кстати, посмотрел сам статус этих пакетов в АУРе этих 20-ти пакетов4 удалены и 2, Аноним, 27-Окт-22, 21:41 (98) //
    - да, но это вызовет ненужное внимание тысячеглазов - чойта брошенный пакет вдруг , пох., 27-Окт-22, 22:22 (104)
      - это похоже из разряда - вложить на рубль а получить на копейку ну или каждому ан, Аноним, 27-Окт-22, 22:56 (107)
- Чтай внимательно , Аноним, 27-Окт-22, 18:12 (67) //
  - и ты в курсе для чего используют SKIP не по большей часте для пакетов типа, Аноним, 27-Окт-22, 20:42 (86)
В Snap и flatpak программы хотабы в изолированном окружении выполняются в snap е, Аноним, 27-Окт-22, 18:50 (74) //
- Эта изоляция де факто миф , Аноним, 27-Окт-22, 20:06 (81) //
  - поскольку сделана не из синей изоленты вроде openvz, угу Скорее оградка вок, Michael Shigorin, 27-Окт-22, 21:44 (100)
  - Миф это наличие коллективного или индивидуального разума на опеннет, на самом де, Аноним, 27-Окт-22, 23:02 (108) //
    - можно взглянуть под другим угломмы здесь генерируем данные для тренировки будуще, Аноним, 28-Окт-22, 00:18 (113)
      - Если ИР прочитает комментарии на opennet, он решит что люди являются не разумным, Аноним, 30-Окт-22, 07:25 (132)
ну так опенсорс про то, что любой, кто умеет, может модифицировать код, и любой , Аноним, 27-Окт-22, 20:46 (89) //
- Любой может упаковать в пакетик трендовый сет иконок и сделать свой дистрибутив,, n00by, 28-Окт-22, 09:41 (122)
Хакер и солонка, Аноним, 27-Окт-22, 21:08 (92)
Странно, что про солонки никто ещё не вспомнил , Аноним, 28-Окт-22, 11:39 (125)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру